BREBER: jen update...přišel jsem na to, co s tou hláškou "BAD FILE FORMAT"... a proč se to chovalo, jak se to chovalo...

Winbox si stahuje z RB nějaké files a to pro každou verzi ROS ke které se pripojuje, pokud ji už nemá...a jak byl hacknutej, tak žrejmě nějakej balíček či co nesel stáhnout nebo něco nesedělo...každopádně flashování po kabelu apod se mi nechtělo a napadla mě myšlenka, která klapla...

vzal jsem jinej RB se stejným OS (nahrál do něj všechny balíčky) a pripojil ho k PC s Winboxem...koektně se vse stahlo...pak už jen zbývalo pripojit původní RB a voalááá...byl jsem vevnitř...smazal jsem konfiguraci do dafaultu probedl několikrát update na aktuální verzi a je to...

BREBER: ja bych hlavne udelal reinstal, upgrade biosu a /system reset a nastavil to odznova...

super, tak mám další anomálii s tím routrem...pri pokusu přihlásit se k němu z winboxu mi to píše chybu "bad file format" ...z googlu toho moc nevypadlo...

paradoxem je, že z mého PC to jede, ale to je tak asi jediny...nechapu...

zkusil jsem vypnout veškerá firewall pravidla a žádná změna, v services jsou povolene jen winbox a http

BREBER: Mam neco takoveho:


/ip firewall filter
add action=drop chain=forward comment=SPAM disabled=no dst-port=25 protocol=tcp src-address-list=spammer
add action=add-src-to-address-list address-list=spammer address-list-timeout=3d chain=forward connection-limit=30,32 disabled=no dst-port=25 limit=50,5 protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=1d chain=input comment="Ochrana pred utokem FTP" content="530 Login incorrect" disabled=no dst-address-list=ftp_stage4
add action=add-dst-to-address-list address-list=ftp_stage4 address-list-timeout=1d10s chain=input content="530 Login incorrect" disabled=no dst-address-list=ftp_stage3
add action=add-dst-to-address-list address-list=ftp_stage3 address-list-timeout=1d10s chain=input content="530 Login incorrect" disabled=no dst-address-list=ftp_stage2
add action=add-dst-to-address-list address-list=ftp_stage2 address-list-timeout=1d10s chain=input content="530 Login incorrect" disabled=no dst-address-list=ftp_stage1
add action=add-src-to-address-list address-list=ftp_stage1 address-list-timeout=1d10s chain=input disabled=no dst-port=21 in-interface=ether10 protocol=tcp
add action=drop chain=input disabled=no dst-port=21 in-interface=ether10 protocol=tcp src-address-list=ftp_blacklist
add action=accept chain=input comment="Ochrana pred utokem SSH" connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=sshaccept
add action=drop chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=sshdrop
add action=add-src-to-address-list address-list=sshdrop address-list-timeout=0s chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=stage4
add action=add-src-to-address-list address-list=stage4 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=stage3
add action=add-src-to-address-list address-list=stage3 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=stage2
add action=add-src-to-address-list address-list=stage2 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=stage1
add action=add-src-to-address-list address-list=stage1 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=22 protocol=tcp
add action=accept chain=input comment="Ochrana pred utokem SSH" connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=sshaccept
add action=drop chain=input connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=sshdrop
add action=add-src-to-address-list address-list=sshdrop address-list-timeout=0s chain=input connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=stage4
add action=add-src-to-address-list address-list=stage4 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=stage3
add action=add-src-to-address-list address-list=stage3 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=stage2
add action=add-src-to-address-list address-list=stage2 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=stage1
add action=add-src-to-address-list address-list=stage1 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=23 protocol=tcp

BREBER: ja pouzivam vice mene podobnej set pravidel jako je tady
Mikrotik Howto to Secure your router from invalid login attempts / Virus Flooding Attacks « Syed Jahanzaib Personnel Blog to Share Knowledge !
http://aacable.wordpress.com/2011/08/15/mikrotik-howto-prevent-mt-host-from-invalid-login-attempts-from-lanwan-users/


#Bruteforce login prevention
60

61
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="drop ftp brute forcers"
62
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
63
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h
64

65
#This will prevent a SSH brute forcer to be banned for 10 days after repetitive attempts.
66

67
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no
68
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=3d comment="" disabled=no
69
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no
70
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
71
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no


ještě dotaz, jaky má smysl obecně nastavit limity pro zahazovani packetů při brutal atacku?
Nastavil jsem 10 spojeni za 30s s timeoutem na den (kdybych si spletl heslo nebo tak)

NETWORK: ahoj, jak mas nastavene to pravidlo s tema pokusama? dík

tak jsem tu s tim infem...

no obrazku je videt kam to bylo presmerovany...a verze

BREBER: Welcome bro :)ja to jen teda prejel new firmwarem :) a doufam ze cajk ale mel jsme to na upoc 100mb s verejnou ip a povolenym ssh ale heslo bylo 64 bit :(

uz ho mam na stole, ale nedostanu se k tomu driv ne ve ctvrtek. Ono se z toho asi moc poznat neda...

Daval jsem to mistrum do i4 a komunikovali přímo s Mikrotikem a mám tu i nějaké vyjádření..pak to sem zkusím nejak nandat...bohužel není uplně jasné, jakým způsobem to hackli...

Kazdopadne prosim o podrobne info ohledne toho utoku (verzi RoS, skrze jakou sluzbu (nebo port) se tam dostali, atp). A nebylo by spatne udelat suppout.rif a poslat to na support MikroTiku !

NETWORK: asi nějaká díra (buffer overflow nebo tak nějak) :-)

BREBER: tak to je mazec teda... ja mam tedy na vsech routerech s verejnou IP prave pro telnet a ftp nastavene pravidla, ktere po 5 neuspescnych logine hodi IP do blacklistu... ale stejne, pokud si tam mel silne heslo, jak je mozne ze se tam dostali?

BREBER: díky

AHARAZ: nevim, ale zjistim...zitra ho budu mit u sebe...

BREBER: Jaká tam byla verze ROS?

Tak mi někdo hacknul mikrotik...docela blby zjištění.

Pravdou je, že zvenku bylo zakazaný jen SSH. Vypnutej admin a heslo na dalším userovi bylo dost složitý...

údajně tedy přes telnet nebo ftp...nic moc :-(

Projevilo se to tak, že veškerý provoz na www (port 80) byl přesměrovanej na nejaky chinaweb s rozsypanym cajem...pak byl smazanej puvodni muj admin účet a vytvořenej novej user "admin" a "new" s heslem "woaiaojia"...dost mazec :-(

FAJL: groupoffice.com ??

milí odborníci, poradí mi někdo, jak na routeru EDIMAX AR-7064G+B rozchodit QOS?
ideálně se zaměřením na port, HW adresu, případně IP.
povedlo se mi přes telnet zprovoznit ve webovém rozhraní QOS a VLAN, akorát jsem to zatím nenastavoval, takže nevím kudy kam :-)
např.. VLAN se nastavuje pro porty? a jednotlivám VLAN jde nastavit priorita?

kolega resi IPSEC VPN tunel mezi MTK a Cisco - potreboval by ho nejak udrzovat nazivu ze strany MTK - je mozne neco jako IP SLA, proste nejaky keepalive mechanismus?

management zarizeni, ktere ukoncuji VPN, je nekdy blbe dostupny pres vnitrni iface - zalezi jak je zpracovavana interni komunikace - nemusi se dostat do toho VPN tunelu

ale pritom ve vlastnostech v zalozce Router OS rika vse co se v nem deje a spravne, takze dostupnyje, ale sluzba ping neprojde